Vlákno názorů k článku
Routery Turris mají rozbitou aktualizaci kvůli ukončení OCSP u Let's Encrypt (aktualizováno) od goodMirek - Let's Encrypt to ukonceni podpory OCSP oznamil pred...

Let's Encrypt to ukonceni podpory OCSP oznamil pred vice nez pul rokem.
Tohle se dost nepovedlo, protoze oprava se asi neobejde bez rucniho zasahu. To zamrzi u routeru s premiovou cenou, jehoz hlavni vyhodou proti levne konkurenci ma byt kvalitni softwarova podpora.

nebo vyměnit cert na https://repo.turris.cz, který OCSP podporuje. Koukám, že to pořád nemají vyřešené, zajímavé.

Myslím, že problém nebyl v času, ale v tom uvědomit si, že to bude mít takovéto důsledky. Zejména když lidé, kteří dělají validaci certifikátů při stažení aktualizace TurrisOS jsou pravděpodobně úplně jiní, než lidé, kteří řeší certifikáty pro web. Správci webu nejspíš informaci o zrušení OCSP u LE věděli, ale nevěděli, že to TurrisOS extra validuje. Vývojáři aktualizací TurrisOS zase vůbec nemuseli zaznamenat to zrušení OCSP u LE. Nebo možná používají nějakou knihovnu a ani si nemuseli být vědomi toho, knihovna takhle tvrdě vyžaduje OCSP i v případě, kdy není v certifikátu odkaz.

Ano, je nešťastné, že se to stalo. Naštěstí repo.turris.cz neobnovuje certifikáty na poslední chvíli, takže byl prostor udělat rollback a je ještě skoro měsíc na vyřešení problému. Ale vypnutí podpory OCSP v průběhu životnosti certifikátu autority je situace, která je k tomuto typu problémů náchylná. A bylo trochu zbytečné sýčkovat s tím, že to bude vyžadovat ruční zásah, když bylo velmi pravděpodobné, že bude stačit dát na server důvěryhodný certifikát s OCSP – i kdyby to znamenalo jednorázově certifikát koupit.

Mate pravdu, s tim pesimistickym ocekavanim jsem se unahlil.